Dataskyddsförordningen (GDPR)
Det övergripande syftet är att säkerställa och förstärka individens rätt till sitt privatliv genom skydd av personuppgifter. Detta innebär att individen, när KTH på något sätt hanterar dennes personuppgifter, har rätt till insyn om hur och varför uppgifterna behandlas och kan efter begäran bl.a. få sina uppgifter överförda till en annan extern part (företag, myndigheter m.m.).
Dataskyddsförordningen innebär en skärpning av de regler som finns i PuL, men ställer också upp några nya krav.
KTH:s webbutbildning om dataskyddsförordningen
Direktlänk till webbutbildningen: kth.instructure.com/courses/8356 (endast för KTH:s anställda och inloggning krävs).
Krav som KTH ska uppfylla
KTH ska se till att individens rättigheter säkerställs vid alla skeden av en hantering av personuppgifter och oavsett på vilket sätt. Detta gör vi bl.a. genom att:
- Vi på ett tydligt och lättbegripligt sätt kan redogöra för hur KTH behandlar personuppgifter.
- Personuppgifterna ska alltid behandlas på laglig grund.
- Vi kan motivera varför KTH samlar in, bearbetar och förvarar personuppgifterna samt varifrån vi har fått uppgifterna. Det ska finnas ett tydligt ändamål med hanteringen.
- Vi ser till att personuppgifterna är relevanta och inte för omfattande i relation till syftet med insamlingen, bearbetningen eller förvarandet.
- Vi håller personuppgifterna korrekta och uppdaterade.
- Vi inte förvarar personuppgifter längre än nödvändigt med hänsyn till syftet. Vad som ska gallras och bevaras framgår av KTH:s informationshanteringsplan .
- Vi vidtar tekniska och organisatoriska åtgärder för att säkerställa tillräckligt skydd så att personuppgifterna inte riskerar att komma i orätta händer eller bli manipulerade.
- Vi jobbar aktivt med dataskydd, bl.a. att se till att de system, molntjänster eller andra ställen som vi använder för att samla in, bearbeta eller spara personuppgifter är utformade så att dataskyddsförordningen upprättshålls. Detta kan t.ex. vara funktioner som omöjliggör att fler personuppgifter än vad som är nödvändig samlas in.
KTH ska kunna visa att detta följs, t.ex. genom egna regelbundna kontroller, anvisningar och dokumentation.
Det ska alltid finnas en laglig grund för alla hantering av personuppgifter. De vanligaste lagliga grunderna som KTH följer är:
- att behandlingen är nödvändig för att kunna utföra en uppgift av allmänt intresse eller för myndighetsutövning, t.ex. examinera studenter.
- att behandlingen är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse, t.ex. internationella studenter och utredning av arbetskador.
- samtycke från den registrerade, t.ex. vid rekrytering och anmälan till konferenser.
Vilka rättigheter har individen?
Individen har flera rättigheter gentemot KTH:
- Rätt till information – individen ska fåinformation när personuppgifterna hanteras och vid vissa speciella situationer, så som dataintrång (s.k. personuppgiftsincidenter).
- Rätt till rättelse – ska få möjlighet att rätta, komplettera och justera sina egna personuppgifteruppgifter.
- Rätt till radering ("rätten att bli bortglömd") – i vissa fall har individen rätt att få sina uppgifter raderade.
-
Rätt till begränsning av behandling – i vissa fall har individen rätt att begära att hanteringen begränsas. Detta kan ske genom att personuppgifterna markeras för att på så sätt i framtiden hanteras endast för vissa avgränsade syften.
- Dataportabilitet – under vissa förutsättningar har individen rätt att få ut och överföra personuppgifterna till ett annat ställe (t.ex. annan organisation).
- I vissa fall rätt att göra invändningar mot vidare hantering.
- Rätt att inte bli föremål för ett beslut, som har rättslig verkan, genom ett automatiserat beslutsfattande (inklusive profilering), om det inte finns ett undantag i annan lag eller samtycke har givits.
- Klagomål och skadestånd– individen har rätt att lämna klagomål till KTH och Integritetsskyddsmyndigheten (tidigare Datainspektionen).
Stöd för verksamhet
Dataskyddsombudet ska bl.a. bistå verksamheten. KTH:s dataskyddsombudet heter Robin Roy. Du kan läsa mer om rollen här . Kontaktuppgifter:
- E-post: Dataskyddsombud@kth.se
- Telefon: 08-790 87 52
- Adress: Kungliga Tekniska högskolan, Att: Dataskyddsombud, Brinellvägen 8, 100 44 Stockholm
Övrig information
Allmän information finns på Integritetsskyddsmyndighetens (tidigare Datainspektionen) hemsida
Infograf om dataskyddsförordningen finns här .